بازیابی ‌‌فایل‌ها‌‌ در‌ لینوکس‌

 فایل‌های dd، RAM یاswap  را می‌گردد. کاروینگ  (حفاری(Carvin: به شناسایی فایل‌ها در سیستم ‌فایل‌های خراب شده، یا حتا بعد از نصب سیستم عامل جدید به شرطی که بلاک‌های فایل هنوز به صورت فیزیکی وجود داشته باشد، قابل بازیابی است.

Foremost برنامه کنسولی است که برای بازیابی به سرآیند( Header) ، پس‌آیند( Footer) و ساختار داده داخلی آن توجه می‌کند. به این روش معمولا حفاری داده(Data Carving)  می‌گویندHeader .ها وFooterها را می‌توان در فایل‌های پیکربندی تعریف کرد یا هنگام اجرای دستور، سوئیچ‌شان را فعال کرد. شیو‌ه نخست به خاطر استفاده کامل از ساختارهای داده قالب فایل مورد بازیابی، امکان بازیابی مطمئن‌تر و سریع‌تری مهیا می‌کند.

نصب Foremost  در اوبونتو

دستور زیر را در ترمینال تایپ کنید:

sudo aptitude install foremost

عملیات نصب انجام می شود.

استفاده ازForemost

گرامر Foremost به این صورت است:

foremost  ]-h[

]-V[ ]-d[]-vqwQT[ 

[<-b>blocksize]

[<-o>dir<[]-t> type]

[<-s[>num<[ ]-i>file]

انتخاب‌هایی که موقع اجرای این دستور می‌توان داشت:

-h صفحه کمک‌رسانی (Help)  را باز می‌کند.

-V اطلاعات کپی‌رایت را نشان می‌دهد.

-d شناسایی غیرمستقیم بلاک را روشن می‌کند، در فایل سیستم‌های یونیکسی عالی جواب می‌دهد.

-T دایرکتوری نتیجه را با زمان نام‌گذاری می‌کند، برای همین هر دفعه دایرکتوری جدیدی ایجاد می‌شود و نیاز به حذف محتویات دایرکتوری قبلی نیست.

-v وضعیت وراجی(Verbose)  را فعال می‌کند. در این حالت تمامی اطلاعات مرتبط با وضعیت جاری دستور در صفحه نمایش نشان داده می‌شود.

-q حالت سریع (Quick)  فعال می‌شود. در حالت سریع تنها ابتدای هر سکتور برای یافتن سرآیندها بررسی می‌شود که در این حالت سرآیند فقط تا طول بلندترین سرآیند جستجو می‌شود. بقیه سکتور، که عموما حدود 500 بایت است نادیده گرفته می‌شود. این حالت باعث می‌شود تا foremost به‌طور چشمگیری سریع‌تر اجرا شود، اما ممکن است فایل‌هایی که در فایل‌های دیگر جاسازی شده‌اند را پیدا نکند. مثلا نمی‌توان فایل‌هایJPEGای را که در پرونده‌هایWord  مایکروسافت وجود دارد پیدا کرد.

وقتی با NTFS  سر و کار دارید، نباید از حالت سریع استفاده کرد چون NTFS  فایل‌های کوچک را داخل جدول فایل اصلی می‌گذارد و این فایل‌ها در حالت سریع نادیده گرفته می‌شوند.

- Q حالت ساکت فعال می‌شود. بیشتر پیغام‌های خطا نشان داده نمی‌شود.

‌َ- bتعدادی بلاک‌هایی که در‌foremost مجازند به کار گرفته شوند. این مورد وابسته به نام‌گذاری‌ها و جستجوهاست. عدد پیش‌فرض 512 است. این‌طور به آن مقدار می‌دهند: 1024-b

-k حجم تکه‌های مورد استفاده در foremost  اگر حافظه اصلی کافی دارید، در این صورت این دستور می‌تواند با جا دادنimage مورد جستجو در خود، سرعت را بهبود ببخشد و عملیات بررسی بافر را که زمانبر است، دیگر انجام نمی‌دهد. برای مثال اگر شما بیشتر از 500 مگابایت حافظه داشته باشید، در این صورت این انتخاب به کارتان می‌آید. 500- k

 -i فایل را به آن می‌دهند. اگر فایلی به دستور داده نشود یا فایل خوانده نشود، در این صورت stdin  مورد استفاده قرار می‌گیرد.

-o directory فایل‌های بازیافتی به این دایرکتوری ریخته می‌شوند.

-c file فایل پیکربندی را تنظیم می‌کند. اگر هیچ فایلی انتخاب نشود، در این صورت فایل foremost.conf  از دایرکتوری جاری مورد استفاده قرار می‌گیرد، اگر آن هم وجود نداشته باشد، در این صورتetc/foremost.conf  مورد استفاده قرار می‌گیرد. شیوه نوشتن فایل پیکربندی در فایل پیش‌فرض آن توضیح داده شده است.

 ‌َ‌-s- قبل از شروع جستجو برای سرآیندها، این تعداد بلاک را رد می‌کند.

مثلا512 215-t jpeg-i/dev/hdal foremost- بلاک اول را رد می‌کند.

چند مثال:

جستجوی تمام انواع فایل:

sudo foremost t all i image.dd

جستجوی فایل‌های gif  و:pdf

sudo foremost -t gif,pdf -i image.dd

جستجو به دنبال فایل‌های  Office و فایل‌های jpeg  در سیستم فایل یونیکس با حالتVerbose:

sudo foremost -v

-t ole,jpeg -i image.dd

اجرای حالت پیش فرض:

sudo foremost image.dd

image.dd یعنی شما باید مسیر دیسک سخت را وارد کنید. مانند/ 1dev/sda یا /1dev/hda یا به همین ترتیب.

Scalpel نرم‌افزاری با بازدهی و اطمینان بالا

یکی دیگر از نرم‌افزارهایی که برای حفاری فایل‌ها استفاده می‌شود، اسکالپل است که از یک پایگاه داده متشکل از سرآیندها و پس‌آیندهای تعریف شده استفاده می‌کند. اسکالپل مستقل از سیستم فایل است و فایل‌ها را از16 FAT،32 FAT، NTFS و3/2 ext یا دیسک خام استخراج می‌کند.

نصب اسکالپل در اوبونتو
sudo aptitude install scalpel
استفاده از اسکالپل‌
به‌طور پیش فرض تمامی انواع فایل‌ ممکن غیرفعال‌اند، برای فعال سازی بایستی به پایگاه داده آن(/etc/scalpel/scalpel.conf)  بروید و هر خطی که می‌خواهید آن نوع فایل جستجو شود، از حالت توضیح (Comment) خارج کنید. شیوه کلی نوشتن دستورات در اسکالپل به مراتب ساده‌تر است:

sudo scalpel FILE -o Directory
در این‌جا منظور از FILE (همان ابزار مورد جستجو یا هارد است) و منظور از Directory یعنی دایرکتوری خروجی‌ای که نتایج استخراج در آن برگردانیده می‌شود.

محمدرضا قربانی‌